Az elmúlt néhány hónap az Ügyfélkapu+ igénylésével és a DÁP mobilalkalmazás regisztrációjával telt. Számos felhasználói igényre, egyedi megközelítésre találtunk kényelmes és biztonságos megoldást a kétfaktoros hitelesítés (2FA) terén, amelyek egy része mobiltelefonos authentikátor alkalmazás formájában, míg mások számítógépre telepített programként, vagy éppen jelszószéfként, esetleg webes alkalmazásként, bővítményként szolgálják a bejelentkezés biztonságát a maguk online vagy offline működésével. December 20-ai írásomban említettem, hogy tesztelés előtt állnak a kézzel fogható fizikai authentikátor eszközök is, amelyekről – jó eséllyel a kompatibilitás hírével – hamarosan beszámolok!
A kétfaktoros hitelesítésről korábbi írásaimban többször, részletesen beszámoltam, így a működésének logikáját csupán annyiban idézném fel, hogy a szokásos felhasználónév és jelszó – tudás alapú – párost kiegészítjük egy birtokláson alapuló következő azonosítóval, amelyet valamely eszközünk generál számunkra a pontos idő és egy közös titok alapján végzett matematikai művelet eredményeként, 30 másodperces érvényességgel.
A kétfaktoros hitelesítést (2FA) szoktuk emlegetni OTP vagy TOTP néven (One Time Password, vagy Time-based One Time Password), amelynek értelemszerűen semmi köze a hasonló nevű hazai pénzügyi szolgáltatóhoz. Van azonban köze a https://totp.app/ weboldalon elérhető, TOPT.app megnevezésű szolgáltatáshoz is, amelyet – több egyéb lehetőség között – ajánl az ugyfelkapu.gov.hu oldal Ügyfélkapu+ azonosítás mód igénylésére készült felülete is.
TOTP.app hitelesítő webes szolgáltatás
Spoiler alert: Nem célom bírálni sem az alkalmazást, sem a fejlesztőjét, de ezt a megoldást nem ajánlom az Ügyfélkapu+ kétfaktoros authentikátoraként használni – hiszen van számos jobb alternatíva. Az elmúlt hónapokban sokan kerestek azzal, hogy segítsek beállítani a TOTP alkalmazást. Mostanra ez a megnevezés átfogó jelentéssel bír a kétfaktoros authentikációra, mégis sokan a webes TOTP.app webes hitelestő alkalmazással azonosítják, noha az csupán egyetlen lehetőség a sok közül.
Mások ezzel ellentétben élesen kritizálják a TOTP.app webes hitelestő alkalmazást, már-már összeesküvést gyanítva a Bahamákra bejegyzett, és orosz kézben lévő szolgáltatásról. Nézzük csak, mi igaz ebből…
A webes szolgáltatások, weboldalak könnyen megjegyezhető domain címeken érhetőek el, amelyeket domain szolgáltatók biztosítanak. Számos ilyen domain szolgáltató található a nagyvilágban. Kezdetnek a Norton SafeWeb szolgáltatásával vizsgáljuk meg az oldal https://totp.app/ linkjét! Az eredmény szerint az oldal BIZTONSÁGOS.
Folytassuk a domain vizsgálatával! A https://who.is/ szolgáltatással nézzük meg, kinél van a domain bejegyezve, és ki a szolgáltatás üzemeltetője! A TLD Registrar Solutions Ltd. a domain szolgáltatója 2018 óta, azonban a TOTP.app weboldal tulajdonosáról nem jutottunk információhoz.
Nézzük a https://totp.app/ weboldalt! A Weboldal HTTPS tanúsítvánnyal rendelkezik, azonban a tanúsítványból szintén nem jutunk információhoz a szolgáltatást, valamint annak üzemeltetőjét illetően.
A weboldalon angol és orosz nyelv közül választhatunk, az alapértelmezett az angol. Nincsenek információk sem az üzemeltetőről, sem az adatkezelésről, felhasználási feltételekről. Az alkalmazást kipróbálva megállapítható, hogy a böngésző cookie-jaihoz kötődően tárolja és számolja 30 másodperces ciklusban az időalapú kétfaktoros azonosító kulcsot, azonban a cookie-k törlésével a tárolt azonosító is törlődik. A tárolt kulcsok mentése és helyreállítása lokálisan menthető JSON-fájl útján biztosított, amely jelszóval nem védett.
A kutatást ezen a ponton elégségesnek ítéltem. Figyelmen kívül hagyva az összeesküvés elméleteket, és a működési módra koncentrálva kijelenthető, hogy a TOPT.APP https://totp.app/ webes kétfaktoros authentikátorról semmit sem tudunk. Nem is ez a legnagyobb baj – bár vitathatatlanul kockázati tényező -, hiszen a 30 másodpercenként generált kulcson kívül még a felhasználónevünk és – ugye – erős jelszavunk védi az Ügyfélkapu+ azonosítási folyamatot, de a megbízhatóság aggálya fordítva is igaz.
Gondoljunk csak bele, ha a szolgáltatás máról holnapra minden előzetes tájékoztatás nélkül megszűnik, s már nem lesz elérhető a TOTP.APP a https://totp.app/ oldalon, és erre építettük az Ügyfélkapu+ bejelentkezési képességünket, és talán még a regisztrációkor kapott QR-kód, és 16 karakteres titok, de még a törlőkód sincs elmentve… – akkor mitévők lennénk?
Összeesküvés elméletektől függetlenül a jól felfogott érdekünk, az KAÜ azonosításunk lehetőségének biztosítása azt kívánja hogy megbízható, ellenőrzött, hosszú távon rendelkezésünkre álló azonosítási módot használjunk. A TOTP.APP ennek megfelelése véleményem szerint igencsak megkérdőjelezhető. Válasszunk helyette jobbat, megbízhatóbbat, igényeinknek megfelelőbbet!
Nem tartozik ugyan a TOTP.app vizsgálatához, de ha már szóba került a megbízhatóság, essen néhány szó az alternatívákról is a közismert, mobilkörnyezetben használt Google Authentikátor, Microsoft Authentikátor és NISZ Hitelesítő körön kívül is.
Az Ügyfélkapu+ igénylés folyamatában ajánlott authentikátor a verifyr alkalmazás is. Rendelkezik időalapú és számláló alapú online 2FA authentikátorral is, valamint számos rendszerre letölthető alkalmazással is. Az elmúlt hetekben a weboldalt a vírusvédelmi eszközök nem biztonságos kategóriába sorolták, azonban mára ez elhárult.
Az EnteAuth authentikátor használata elsősorban a könyveléssel foglalkozók körében merült fel az interneten megjelent cikkek alapján, és tudását tekintve támogatható is, de a telepítési folyamat során a vírusvédelmi eszközök óvatosságra intenek.
Nem szeretnék elköteleződni egy konkrét szoftver, alkalmazás, vagy szolgáltatás mellett sem, s legfőképpen nem szeretném egyiket sem elutasítani, vagy kirekeszteni a lehetőségek köréből, de – mint általában – itt is igaz, hogy olyan szolgáltatást érdemes választanunk (akár ingyeneset is) amely hosszú távon, megbízhatóan szolgálja kényelmünket gyakori felhasználói beavatkozás igénye nélkül – lehetőség szerint rendszereink és adataink biztonságát szem előtt tartva.
Érdemes ezért körültekintően választani, szakember támogatását kérni az online ügyinézési környezetünk kialakítása, az alapok lefektetése során, mert számos bosszúságtól megkímélhetjük magunkat!
Ha hasznosnak találtad, ide kattintva megoszthatod ismerőseiddel a Facebookon!